Management

Le Clusif met en garde contre les faiblesses humaines

Le « social engineering » est une stratégie en forte croissance chez les cybercriminels.

PublicitéLe Clusif (Club de la Sécurité des Systèmes d'Information Français) a organisé le 14 juin au Cercle National des Armées à Paris une réunion de sensibilisation sur les techniques d'attaques non-technologiques qui seraient en forte expansion. Regroupées sous le terme de « social engineering », ces attaques visent à obtenir des informations utiles qui seront utilisées, par exemple, pour mener une attaque plus classique sur le SI. Un cas très fréquent est la volonté d'obtenir des identifiants et des mots de passe. Le « social engineering » repose sur les faiblesses humaines. Il existe deux types de stratégies : d'une part les attaques à large échelle non-ciblées reposant sur la loi des grands nombres (le cybercriminel compte sur la bêtise de quelques uns), d'autre part les attaques ciblées avec une préparation et des objectifs précis. Les envois massifs de pourriels, notamment d'hameçonnage dont la qualité intrinsèque s'est nettement améliorée, appartiennent à la première catégorie ; les récupérations de données nominatives et d'organigrammes hiérarchiques permettent les secondes, notamment par usurpation d'identité (il a ainsi été rappelé que les poubelles des entreprises comprennent toujours de grandes quantités de données utiles, notamment des disques durs non-effacés). Mais les manoeuvres relevant du « social engineering » ne sont que rarement en elles-mêmes des délits, tout au plus un prémisse de délit, ce qui rend particulièrement délicat l'intervention de la police. Les intervenants ont insisté sur que les gens ont une tendance naturelle à aider leur prochain si cela ne leur coûte rien. Si une motivation particulière est nécessaire, les cybercriminels emploient souvent instinctivement la méthode dite MICE (Monnaie, idéologie, contrainte, égo) : promettre de l'argent ou un avantage, faire appel aux valeurs (« aidez les pauvres enfants du Tiers-Monde »), usurper l'identité d'un supérieur pour obtenir une soumission à un ordre, jouer sur la flatterie (« un excellent développeur comme vous peut sans doute m'aider... »). Pour lutter contre les attaques relevant du « social engineering », il est nécessaire de sensibiliser les personnels des entreprises, et surtout de donner des directives très claires (par exemple : ne jamais donner un mot de passe par téléphone, rappeler un correspondant sur un numéro identifié et connu avant d'accepter de lui donner une information sensible...). Une manière de lutter contre la divulgation d'informations sensibles est aussi... de supprimer cette information ! Ainsi, il peut être opportun de remplacer des mots de passe par des clés USB portant un identifiant physique.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Proposez-vous des portails IT en self-service pour permettre aux utilisateurs de résoudre seuls des problèmes courants ?